密码学的新方向

密码学的新方向

Invited Paper

Whitfield Diffie and Martin E. Hellman

摘要：本文讨论了当代密码学的两个发展方向：加密和认证。随着远程通信的发展，特别是计算机网络的发展，密码学面临着两大难题：可靠的密钥传输通道问题，和如何提供与书面签名等效的认证体系。文章讨论了这些问题的解决方法。此外还讨论了怎样开始运用通信理论和计算理论来解决密码学长期存在的密码学问题。

1 介绍

今天我们正处于密码学革命的边缘。数字硬件的便宜化使得密码学能够从机器计算能力的设计限制中解脱出来，同时，它降低了高程度加密工具的价格，使得这些工具能够被类似远程自动取款机和计算机终端等商业应用所采用。反之，这些商业应用引发了对新类型的密码系统的需求，即要做到减少对密钥分发渠道的安全性需求和提取一个安全性等同于书面签名的认证体系。同时，信息理论和计算机科学的发展使得开发安全的密码系统成为可能，也使得密码学从真正意义上变为一门科学，而不再是一项古老的技术。

计算机远程通信网的发展为处于世界两端的人和计算机之间的通信降低了代价，使得远程通信手段取代了大部分的邮件和私人送信等古老手段。对于很多采用这种手段的计算机通信，要能够做到防范他人对通信内容的窃听和注入。不幸的是，现在这些安全保障技术的发展远远落后于通信领域的其它技术的发展。当代密码体制不能满足这些安全性要求，以至于采用了这些密码体制的系统，使用者在使用过程中会感到极为不便利，从而消弱了远程通信处理技术的优越性。

最广为人知的密码难题就是保密机制：为了阻止他人窃取在不安全传输通道上的通信数据，我们要采用加密技术来保护这些通信数据，因而，现在的问题在于通信双方怎样安全共享通信密钥。采用一些安全的通信渠道，例如私人送信或挂号信等渠道，可以事先共享通信密钥。但是，两个陌生人之间的商业会话是经常发生的事情。初始的商业会话被延迟到通信双方通过以上所列举的一些物理手段来共享通信密钥后再发生是不现实的。这种密钥分发问题所导致的代价和延迟是利用远程通信网络来进行商业通信的一个巨大障碍。

第三部分给出了如何利用公开（即不安全的）通信渠道传输密文而不损害安全性的两种方法。在公钥密码体制中，加密密钥E 和解密密钥D 是完全不相同的，而且利用E 求解D 是计算上不可行的（计算量为）。公开加密密钥E 不会损害解密密钥D 的安全性。因而，网络上的每一个用户可以将他的加密密钥E 放在一个公共加密密钥薄上。这样网络上用户就可以利用对方提供的加密密钥来给他发送信息，并且只有对方才能解密出这个信息。因此，公钥密码系统是多路存取密码机制。两个人，无论熟人还是陌生人，都可以进行一个安全的私人会话。彼此利用对方提供的公钥来加密所要发送的信息，用自己的私钥对收到的信息进行解密。

100

10 我们建议使用一些技术来改进和发展公钥密码机制，但是，它所存在的问题仍然是巨大的。

公钥分配系统不需要一个安全的密钥传输通道。在这个系统中，发送方和接受方重复的发送彼此的公钥，直到对方准确收到为止。第三方即使窃听到了这些信息，想破译双方的私钥在计算上也是不可行的。在第三部分给出了公钥分发系统存在的一些问题的解决方法，Merkle[1]还提供了不同的解决方案。

第二个阻碍远程事务处理系统取代当代现有商业通信手段的障碍是认证。现在商业合同

是通过签名来保证其有效性的。签名的合同是有法律效力的。然而，一般的签名是在书面合同的传输和存储中使用的。要用纯粹的数字取代纸张工具，必须做到每个使用者发送的信息，其他人都必须能准确验证它的真实性，并且不能被他人，包括接收者在内伪造。既然只有一个人能发送信息，其他人只能接收，这就好比是一个广播式密码系统。现有的数字签名技术不能满足这种需求。

第四部分讨论了在提供一个真实的数字签名时存在的一些问题。考虑到某些原因，我们认为这是一个单向认证问题。对于这个问题的一些解决方案已给出，并且说明了怎样将一个公钥密码系统变为一个单向认证系统。

第五部分讨论了密码学不同问题的相关性，并且讨论了更为复杂的陷门问题。

当通信和计算引起新的密码学问题的同时，它们相关的信息理论和计算理论却开始为古典密码学存在的一些问题提供解决工具。

寻找不可破译的密码体系一直是密码学研究的最古老的主题之一，然而，到这个世纪初为止，所有被提出的加密系统都是最终可被破译的。直到1920年，“一次一密”加密体制才被创建，而且它被证明是不可破译的[2 , pp . 398-400]。这种加密机制和相关理论依据是建立在25年后的信息论基础上的[3]。“一次一密”加密机制加密需要很长时间，因而在实际应用时代价很大。

相比之下，大部分密码系统的安全性是建立在密码破译者在不知道密钥的情况下，对其破译的计算复杂性上基础的。这个问题属于算法复杂度研究领域，即计算复杂性领域和算法分析领域。运用这些理论的研究结果，在不久将来，将安全性的证明扩充到更有用系统中去将变为可能。第五部分将研究这些可能性。

2 常规密码体制

密码学是包含两种安全性问题的数学系统的研究：加密和认证。加密系统用来防止在公共通道传输的信息被非法窃取，即保证发送的信息只能被合法的接收者读取。认证系统用来防止他人注入非法信息到公开通道里，即保证接收者接受到的信息是发送者发送的。

如果一个通信通道的安全性不能满足用户的需求，那么它就被认为是公开的通信通道。因而，一个通信通道，例如电话线，可能是保密的也可能是公开的，这取决于它的使用者。根据使用方式通信通道可能面临着窃听或注入等威胁。在电话通信中，注入的威胁是巨大的，因为接收电话方不能确定到底是谁在给他打电话。而窃听需要使用窃听器，因而在技术上更为困难些，而且还要负法律责任。无线通信情况与之恰恰相反。窃听是被动的，不需冒违法的危险，而注入则需使用发射机并且容易被发现。

密码学问题包括加密和认证，认证又可分为消息认证和身份认证。消息认证处理的问题主要是以上讨论的问题，身份认证的任务是确保用户的合法身份。例如，某人使用了一个信用卡，那么他的身份必须得到证实，但是这个过程没有信息传输。如果不管在身份认证时明显缺少传输信息，消息认证和身份认证是相同的。其实在身份认证时，有隐藏信息“我是XX 用户”。来自威胁环境和加密、认证这两个问题的其它方面不同，有时便于我们区分它们。

图1表明了在使用一般密码系统进行通信时信息的流动。它包含三部分：发送方，接收方和攻击者。发送方生成一个将在不安全通信通道上传输的明文。为了防止攻击者窃取明文，发送方利用一个可逆变换,产生密文C =。密钥P P K S )(P S K K 通过一个安全的通信通道发给且只发送给接收方。因为接收方知道密钥K ，他能够利用的逆变换来解密密文，即得到明文。当然，这种做法适用于传输密钥K S 1

−K S C P P S S C S K K K ==−−))(()(11K 的安全通道因载量或延时等问题不能传输明文。举个例子，安全通信通道是每周一次的专人送信，不安全通道是电话线。

P 此密码系统有一个可逆变换， K S